- 重要資料不要放在Cookie中,如果要存放也請加密或編碼處理。
- 在ASP.NET中網站使用者的SessionID會顯示在URL網址列中(Cookieless Session功能) ,請隱藏或加密處理。
- 加密帳號或密碼的Cookie並不代表不會被破解仍然可以被存取到被加密的Cookie,只差別在於需要多久的破解時間。
- 使用ASP.NET預設的120-bit SessionID
- 使用SSL安全通訊可以保護SessionID Cookie。缺點是會影響效能。 (駭客還是可以使用XSS的作法偷取到,請搭配修改網頁程式碼。)
- 如果Session存放在ASP.NET State服務,請關閉Port 42424 防止駭客直接攻擊Web存取Server上資料
- 如果Session存放在SQL Server服務,請關閉Port 1433,1434防止駭客直接攻擊DB存取Server上資料
Title : 阻擋Session Hijacking/Cookie欺騙的方法(4/5)
Description : 重要資料 不要放在Cookie 中,如果要存放也請加密或編碼處理。 在ASP.NET中網站使用者的SessionID會顯示在URL網址列中(Cookieless Session功能) ,請 隱藏或加密 處理。 加密帳號或密碼的Cookie並不代表不會被破解仍然可以被存取到被加密的...
